Übergang in neue Informationssicherheitsnorm

ISO/IEC 27001:2022 ersetzt ISO/IEC 27001:2013

In privaten, öffentlichen oder gemeinnützigen Organisationen ist die Informationssicherheit durch die internationale Norm ISO 27001 geregelt. Diese enthält Anforderungen für die Einrichtung, die Realisation, den Betrieb und die Optimierung eines Informationssicherheits-Managementsystems (IMSM). Des Weiteren berücksichtigt die Norm auch Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.  

Ende dieses Jahres wird das normative Dokument ISO/IEC 27001:2022 erwartet – dieses ersetzt dann die ISO/IEC 27001:2013. Anfang August hat das International Accreditation Forum (IAF) hierzu die Publikation IAF MD 26:2022 „Transition Requirements for ISO/IEC 27001:2022“ veröffentlicht, welche die entsprechenden Übergangsregelungen enthält. Die Übergangsfrist für die zertifizierten Unternehmen beträgt drei Jahre, nach dem Ablauf dieser Frist verlieren alle Zertifikate nach ISO/IEC 27001:2013 ihre Gültigkeit.

Die ISO/IEC 27001:2022 ist keine vollständig überarbeitete Auflage, die Änderungen betreffen lediglich die folgenden Punkte:

  • Anhang A verweist auf die Maßnahmen in ISO/IEC 27001:2022, diese enthält Informationen zu Maßnahmentiteln und Maßnahmen.
  • Die Anmerkungen zu Abschnitt 6.1.3 c) wurden redaktionell überarbeitet, einschließlich der Streichung der Maßnahmenziele und der Verwendung der Begrifflichkeit „Informationssicherheitsmaßnahme“ anstatt „Maßnahme“.
  • Der Wortlaut von Abschnitt 6.1.3 d) wurde, zur Beseitigung möglicher Unklarheiten, neu geordnet.
  • Im Vergleich zur vorangegangenen Ausgabe verringert sich mit der Norm ISO/IEC 27002:2022 die Anzahl der Maßnahmen von 114 in 14 Abschnitten zu 93 in 4 Abschnitten
  • Von den Maßnahmen in ISO/IEC 27001:2022 sind 11 neu, 24 wurden aus bestehenden Maßnahmen zusammengeführt und 58 Maßnahmen wurden aktualisiert.
  • Darüber hinaus wurde die Maßnahmenstruktur überarbeitet. Es werden „Attribute“ und „Zweck“ für jede Maßnahme eingeführt und der Begriff „Ziel“ wird nicht mehr für eine Gruppe von Maßnahmen verwendet.

Haben Sie Fragen zu den Übergangsregelungen? Sprechen Sie uns gerne an!

Sprechen wir über Ihre Fragen. Wir freuen uns auf den Austausch.

Kontakt